|
| I dati relativi al DNS sono una miniera di informazioni per gli hacker, quindi diventa importante ridune al minimo la quantità di dati disponibili su Internet. Dal punto di vista della configurazione di un host, è opportuno limitare la possibilità di trasferimento della zona ai soli server autorizzati. Nelle versioni più recenti di BIND, per impone tale restrizione è possibile specificare all'interno del file named.conf la direttiva allow-transfer. Nel caso del DNS di Microsoft, per vincolare i trasferimenti di zona è possibile utilizzare l'opzione Notify. (Per maggiori informazioni, si veda http: //support .microsoft. com/support/kb/articles/q193/8/37.asp.) Per altri server dei nomi, vi rimandiamo alla relativa documentazione.
Per quanto riguarda la rete, potreste configurare un firewall o filtri sui pacchetti per un router in modo da respingere tutte le connessioni in ingresso sulla porta TCP 53. Poiché le richieste di ricerca sui nomi si servono di HDP e quelle di trasferimento di zona di TCP, in questo modo verrebbero ostacolati possibili tentativi di trasferimento di zona. Tuttavia questa contromisura è una violazione dell'RFC, che stabilisce che le indagini DNS superiori a 512 byte vengano inviate tramite TCP. Nella maggior parte dei casi, le indagini sui DNS ricadranno facilmente nel limite dei 512 byte. Una soluzione migliore sarebbe l'implementazione delle firme di transazione (TSIG, |
|
